ISO/IEC 27001:2022

Guide de conformité ISO 27001

ISO 27001 est la norme internationale pour le management de la sécurité de l'information. Qu'elle soit exigée par les clients ou poursuivie volontairement, nous vous aidons à mettre en oeuvre les 93 contrôles de l'Annexe A et à obtenir la certification.

Commencer l'évaluation des risques Réserver une consultation certification

Qu'est-ce que ISO 27001 ?

ISO/IEC 27001:2022 est la norme internationale pour l'établissement, la mise en oeuvre, le maintien et l'amélioration continue d'un système de management de la sécurité de l'information (SMSI). Elle fournit une approche systématique de la gestion des informations sensibles de l'entreprise basée sur l'évaluation des risques.

Dernière version : ISO 27001:2022 a remplacé la version 2013 en octobre 2022. Les organisations certifiées selon la version 2013 doivent transitionner avant le 31 octobre 2025. La version 2022 a restructuré l'Annexe A de 114 contrôles en 14 catégories à 93 contrôles en 4 thèmes.

Cycle PDCA

Amélioration continue Plan-Do-Check-Act

Certification

Auditée par un tiers et reconnue mondialement

Complète SOC 2 pour les marchés US et ISO 42001 pour les systèmes d'IA.

Qui a besoin de la certification ISO 27001 ?

Organisations traitant des données sensibles

Données clients, registres financiers, informations de santé

Fournisseurs de services cloud

Fournisseurs SaaS, PaaS, IaaS nécessitant une certification de sécurité

Services financiers

Banques, fintechs, processeurs de paiement

Organisations de santé

Hôpitaux, cliniques, entreprises de technologies de santé

Contractants gouvernementaux

Organisations travaillant avec des données du secteur public

Entreprises mondiales

Démontrer l'engagement en matière de sécurité aux clients et partenaires

Comment VerifyWise soutient la conformité ISO 27001

Capacités spécialement conçues pour la mise en oeuvre et la certification du SMSI

Inventaire des actifs et classification de l'information

Enregistrez tous les actifs informationnels avec des métadonnées structurées couvrant la propriété, la classification et les exigences de traitement. La plateforme capture le contexte des actifs requis par A.5.9 et maintient l'inventaire mandaté par A.5.1.

Couvre : A.5.1 Inventaire de l'information, A.5.9 Classification des actifs

Évaluation et traitement des risques

Identifiez les risques de sécurité à l'aide de méthodes d'évaluation structurées alignées sur les exigences ISO 27001. La plateforme suit les sources de risques, les décisions de traitement et génère la documentation requise par les clauses 6.1.2 et 8.2.

Couvre : Clause 6.1.2 Évaluation des risques de sécurité de l'information, Clause 8.2 Traitement des risques

Gestion des politiques et procédures du SMSI

Établissez des politiques de sécurité de l'information, définissez les rôles et générez des procédures alignées sur ISO 27001. La plateforme maintient le versionnement des politiques et les flux d'approbation qui satisfont la clause 5.2 et A.5.1.

Couvre : Clause 5.2 Politique de sécurité de l'information, A.5.1 Politiques pour la sécurité de l'information

Suivi de la mise en oeuvre des contrôles

Suivez la mise en oeuvre des 93 contrôles de l'Annexe A avec collecte de preuves. La plateforme documente l'état des contrôles, les parties responsables et maintient la piste d'audit requise par la clause 6.1.3.

Couvre : Clause 6.1.3 Déclaration d'applicabilité, Clause 8.1 Planification opérationnelle

Surveillance continue et métriques

Suivez la performance du SMSI avec des KPI alignés sur les objectifs de sécurité. La plateforme consolide les données de surveillance, les schémas d'incidents et l'efficacité des contrôles pour la visibilité continue requise par la clause 9.1.

Couvre : Clause 9.1 Surveillance et mesure, A.5.7 Renseignement sur les menaces

Audit interne et revue de direction

Gérez les programmes d'audit avec des flux structurés et intégrez les conclusions dans les cycles d'amélioration. La plateforme soutient le cycle Plan-Do-Check-Act central à la certification et au maintien d'ISO 27001.

Couvre : Clause 9.2 Audit interne, Clause 9.3 Revue de direction, Clause 10 Amélioration continue

Toutes les activités du SMSI maintiennent des pistes d'audit complètes avec horodatages, responsabilités assignées et flux d'approbation. Cela démontre un management systématique de la sécurité de l'information pour les audits de certification.

Couverture complète des exigences ISO 27001

VerifyWise couvre toutes les clauses obligatoires et les contrôles de l'Annexe A

Contrôles de l'Annexe A dans ISO 27001:2022

Contrôles avec outils dédiés

100%

Couverture des 4 thèmes

Clauses 4-107/7

Clauses obligatoires du SMSI et cycle PDCA

Organisationnel37/37

Politiques, rôles, relations fournisseurs

Personnel8/8

Sélection, sensibilisation, disciplinaire

Physique14/14

Zones sécurisées, équipement, élimination

Technologique34/34

Contrôle d'accès, cryptographie, journalisation

Conçu pour la certification ISO 27001:2022

Déclaration d'applicabilité

Génération automatique de la DdA avec justifications et exclusions des contrôles

Plan de traitement des risques

Suivez les décisions de traitement des risques et l'acceptation du risque résiduel

Programme d'audit interne

Gérez les calendriers d'audit, les conclusions et les actions correctives

Correspondance multi-cadres

Correspondance avec ISO 42001, SOC 2 et les exigences NIST

Clauses obligatoires du SMSI (4-10)

ISO 27001 suit le cycle Plan-Do-Check-Act à travers sept clauses obligatoires

Clause 4

Contexte de l'organisation

Comprendre le contexte organisationnel, les parties intéressées et définir le périmètre du SMSI.

Enjeux internes et externes
Parties intéressées et exigences
Détermination du périmètre du SMSI
Établissement du système de management de la sécurité de l'information

Clause 5

Leadership

Démontrer l'engagement de la direction et établir la politique de sécurité de l'information.

Leadership et engagement
Politique de sécurité de l'information
Rôles et responsabilités organisationnels
Attribution des autorités

Clause 6

Planification

Traiter les risques et opportunités, fixer des objectifs et planifier pour les atteindre.

Actions pour traiter les risques et opportunités
Évaluation des risques de sécurité de l'information
Traitement des risques de sécurité de l'information
Objectifs de sécurité de l'information et planification

Clause 7

Support

Assurer les ressources, les compétences, la sensibilisation et les informations documentées.

Fourniture de ressources
Exigences de compétences
Formation de sensibilisation
Protocoles de communication
Contrôle des informations documentées

Clause 8

Fonctionnement

Mettre en oeuvre et exploiter les processus du SMSI.

Planification et contrôle opérationnels
Exécution de l'évaluation des risques de sécurité de l'information
Mise en oeuvre du traitement des risques de sécurité de l'information

Clause 9

Évaluation de la performance

Surveiller, mesurer, analyser et évaluer la performance du SMSI.

Surveillance, mesure, analyse et évaluation
Programme d'audit interne
Revue de direction

Clause 10

Amélioration

Traiter les non-conformités et améliorer continuellement le SMSI.

Non-conformité et action corrective
Amélioration continue du SMSI

Cycle PDCA

Modèle d'amélioration continue

Annexe A : 93 contrôles de sécurité

ISO 27001:2022 organise les contrôles en 4 thèmes couvrant la sécurité organisationnelle, du personnel, physique et technologique

Contrôles organisationnels

37 contrôles

Politiques, procédures, rôles et mesures de sécurité organisationnelles.

Contrôles clés

• A.5.1 Politiques pour la sécurité de l'information
• A.5.7 Renseignement sur les menaces
• A.5.9 Inventaire de l'information et autres actifs associés
• A.5.10 Utilisation acceptable de l'information
• A.5.23 Sécurité de l'information pour l'utilisation des services cloud
• A.5.24 Planification de la gestion des incidents de sécurité de l'information

Exemples

Politique de sécurité de l'information, classification des actifs, sécurité des fournisseurs, planification de la réponse aux incidents

Contrôles du personnel

8 contrôles

Sécurité des ressources humaines tout au long du cycle de vie de l'emploi.

Contrôles clés

• A.6.1 Sélection
• A.6.2 Conditions d'emploi
• A.6.3 Sensibilisation, éducation et formation à la sécurité de l'information
• A.6.4 Processus disciplinaire
• A.6.5 Responsabilités après la cessation d'emploi
• A.6.6 Accords de confidentialité

Exemples

Vérifications des antécédents, formation à la sensibilisation à la sécurité, contrats de travail, procédures de départ

Contrôles physiques

14 contrôles

Protection des zones physiques, des équipements et des actifs.

Contrôles clés

• A.7.1 Périmètres de sécurité physique
• A.7.2 Accès physique
• A.7.4 Surveillance de la sécurité physique
• A.7.7 Bureau propre et écran verrouillé
• A.7.10 Supports de stockage
• A.7.14 Élimination sécurisée des équipements

Exemples

Contrôle d'accès aux bureaux, gestion des visiteurs, vidéosurveillance, élimination des équipements, politique de bureau propre

Contrôles technologiques

34 contrôles

Mesures de sécurité techniques pour les systèmes et réseaux.

Contrôles clés

• A.8.1 Appareils utilisateurs
• A.8.2 Droits d'accès privilégiés
• A.8.3 Restriction d'accès à l'information
• A.8.5 Authentification sécurisée
• A.8.10 Suppression de l'information
• A.8.24 Utilisation de la cryptographie
• A.8.28 Codage sécurisé

Exemples

Contrôle d'accès, chiffrement, journalisation, gestion des vulnérabilités, développement sécurisé, sauvegarde

Note : Les 93 contrôles ne s'appliquent pas tous à chaque organisation. Votre déclaration d'applicabilité documente quels contrôles vous mettez en oeuvre et fournit la justification de toute exclusion basée sur votre évaluation des risques.

Commencer l'évaluation des contrôles

ISO 27001:2022 vs 2013

Changements clés dans la dernière version et exigences de transition

Aspect	ISO 27001:2022	ISO 27001:2013
Structure	4 thèmes : organisationnel, personnel, physique, technologique	14 catégories organisées par sujet
Nombre de contrôles	93 contrôles (rationalisés et consolidés)	114 contrôles (plus granulaires)
Convention de nommage	Attributs : préventif, détectif, correctif	Catégories uniquement
Focus cloud	A.5.23 Contrôle explicite des services cloud	Cloud couvert implicitement
Renseignement sur les menaces	A.5.7 Contrôle dédié au renseignement sur les menaces	Partie de la gestion des incidents
Date limite de transition	31 octobre 2025 (toutes les certifications doivent transitionner)	N'est plus valide après octobre 2025

Date limite de transition : 31 octobre 2025

Les organisations certifiées ISO 27001:2013 doivent transitionner vers ISO 27001:2022 avant cette date. Après le 31 octobre 2025, les certificats ISO 27001:2013 ne seront plus valides.

Ce qui a changé : 11 nouveaux contrôles ajoutés, 24 contrôles fusionnés, 58 contrôles mis à jour. Focus sur les risques émergents incluant la sécurité cloud, le renseignement sur les menaces et la sécurité de l'information pour les services cloud.

Processus de certification ISO 27001

Audit en deux étapes mené par des organismes de certification accrédités

Étape 1

Revue documentaire

L'auditeur examine la documentation du SMSI pour vérifier l'exhaustivité

Activités clés

Examiner le périmètre et les politiques du SMSI
Évaluer la déclaration d'applicabilité
Évaluer la méthodologie d'évaluation des risques
Vérifier les procédures documentées

Étape 2

Audit de mise en oeuvre

Évaluation sur site de la mise en oeuvre et du fonctionnement du SMSI

Activités clés

Vérifier la mise en oeuvre des contrôles
Interviewer le personnel
Examiner les preuves et les registres
Tester l'efficacité des contrôles
Identifier les non-conformités

Initiale

Audit étapes 1 + 2

Certification valide 3 ans

Annuelle

Audits de surveillance

Années 1 et 2 après la certification

Année 3

Audit de recertification

Réévaluation complète

Feuille de route de mise en oeuvre sur 26 semaines

Parcours structuré de l'analyse des écarts à l'audit de certification

Phase 1Semaines 1-4

Périmètre et analyse des écarts

Définir le périmètre et les limites du SMSI
Réaliser l'évaluation initiale des écarts
Identifier les parties prenantes clés
Établir la gouvernance du projet

Phase 2Semaines 5-12

Évaluation et traitement des risques

Identifier les actifs informationnels
Réaliser l'évaluation des risques
Sélectionner les contrôles de l'Annexe A
Développer la déclaration d'applicabilité
Créer le plan de traitement des risques

Phase 3Semaines 13-20

Mise en oeuvre et documentation

Mettre en oeuvre les contrôles sélectionnés
Développer les politiques et procédures du SMSI
Réaliser la formation de sensibilisation à la sécurité
Établir les processus de surveillance

Phase 4Semaines 21-26

Audit et certification

Réaliser l'audit interne
Revue de direction
Traiter les conclusions
Audit de certification étapes 1 et 2

Modèles de politiques

Modèles de politiques et procédures ISO 27001

Accédez à une documentation SMSI prête à l'emploi alignée sur les exigences ISO 27001:2022 et compatible avec ISO 42001 et SOC 2

Organisationnel

• Politique de sécurité de l'information
• Politique de gestion des actifs
• Politique de sécurité des fournisseurs
• Plan de réponse aux incidents
• Plan de continuité d'activité
• Politique de sécurité cloud
+ 8 autres politiques

Personnel et physique

• Formation de sensibilisation à la sécurité
• Politique d'utilisation acceptable
• Politique de contrôle d'accès
• Politique de sécurité physique
• Procédure de bureau propre
• Gestion des visiteurs
+ 6 autres politiques

Technologique

• Politique de chiffrement
• Politique de sauvegarde et récupération
• Gestion des vulnérabilités
• Journalisation et surveillance
• Politique de développement sécurisé
• Politique de sécurité réseau
+ 9 autres politiques

Parcourir tous les modèles SMSI

Questions fréquemment posées

Questions courantes sur la certification ISO 27001

ISO/IEC 27001 est la norme internationale pour les systèmes de management de la sécurité de l'information (SMSI). Elle fournit une approche systématique de la gestion des informations sensibles de l'entreprise, assurant la confidentialité, l'intégrité et la disponibilité. La dernière version est ISO 27001:2022. Consultez la page officielle ISO 27001 pour tous les détails.

ISO 27001 se concentre sur le management de la sécurité de l'information, tandis qu'ISO 42001 se concentre spécifiquement sur les systèmes de management de l'IA. Les organisations déployant des systèmes d'IA mettent souvent en oeuvre les deux : ISO 27001 pour sécuriser les actifs informationnels et ISO 42001 pour une gouvernance responsable de l'IA. Elles partagent des structures PDCA similaires mais adressent des domaines différents.

Un projet de certification ISO 27001 typique prend 6 à 12 mois selon la taille de l'organisation, la complexité et la maturité de sécurité existante. Les organisations plus petites avec de bonnes pratiques existantes peuvent avancer plus rapidement. L'audit de certification lui-même est un processus en deux étapes mené par des organismes de certification accrédités.

ISO 27001:2022 contient 93 contrôles organisés en 4 thèmes : organisationnel (37 contrôles), personnel (8 contrôles), physique (14 contrôles) et technologique (34 contrôles). Tous les contrôles ne s'appliquent pas à chaque organisation. La déclaration d'applicabilité documente quels contrôles vous mettez en oeuvre et justifie les exclusions.

ISO 27001 est volontaire mais souvent requise par les contrats, réglementations ou normes de l'industrie. De nombreuses industries (services financiers, santé, fournisseurs cloud) l'exigent pour les relations avec les fournisseurs. Certaines réglementations référencent ISO 27001 comme un cadre de sécurité acceptable. Les contrats clients exigent fréquemment la certification.

Les organisations certifiées ISO 27001:2013 doivent transitionner vers ISO 27001:2022 avant le 31 octobre 2025. Après cette date, les certificats ISO 27001:2013 ne seront plus valides. Les nouvelles certifications depuis octobre 2022 utilisent la version 2022. Les audits de transition évaluent les 21 contrôles nouveaux ou modifiés.

Le PDCA est le modèle d'amélioration continue sous-jacent à ISO 27001. Plan : établir le SMSI (clauses 4-6). Do : mettre en oeuvre et exploiter (clauses 7-8). Check : surveiller et examiner (clause 9). Act : maintenir et améliorer (clause 10). Ce cycle garantit que votre SMSI évolue avec les menaces et besoins commerciaux changeants.

ISO 27001 est une norme internationale avec certification tierce, tandis que SOC 2 est un cadre d'audit américain. ISO 27001 a des contrôles prescriptifs de l'Annexe A ; SOC 2 utilise les critères de services de confiance. De nombreuses organisations poursuivent les deux : ISO 27001 pour la reconnaissance mondiale et SOC 2 pour les exigences des clients US.

ISO 27001 exige des informations documentées incluant : périmètre du SMSI, politique de sécurité de l'information, méthodologie d'évaluation des risques, plan de traitement des risques, déclaration d'applicabilité, procédures opérationnelles, programmes de surveillance et d'audit, registres de compétences et procès-verbaux de revue de direction. La norme n'impose pas de formats spécifiques.

Les coûts de certification varient considérablement selon la taille de l'organisation, la complexité du périmètre et l'organisme de certification choisi. Prévoyez les frais de l'organisme de certification (généralement 10 000 à 50 000 $ par an), les honoraires de consultants si nécessaire, les coûts de formation et le temps du personnel interne. Les audits de surveillance ont lieu annuellement avec une recertification tous les 3 ans.

Non, la certification ISO 27001 nécessite un audit indépendant par un organisme de certification accrédité. Vous pouvez mettre en oeuvre les contrôles ISO 27001 sans certification, mais pour revendiquer la certification, vous devez passer le processus d'audit formel en deux étapes. Recherchez des organismes de certification accrédités auprès des organisations nationales d'accréditation.

ISO 27001 couvre de nombreuses exigences de sécurité du RGPD à travers des contrôles comme la gestion des accès, le chiffrement, la réponse aux incidents et la protection des données. L'article 32 du RGPD exige des mesures techniques et organisationnelles appropriées ; ISO 27001 fournit un cadre reconnu. Cependant, ISO 27001 ne couvre pas toutes les exigences du RGPD (comme les droits des personnes concernées et les analyses d'impact relatives à la vie privée).

Après la certification initiale, les organismes de certification réalisent des audits de surveillance annuels pour vérifier le maintien et l'amélioration du SMSI. Ils sont plus courts que l'audit initial de l'étape 2 et se concentrent sur : l'efficacité continue des contrôles, les résultats de la revue de direction, les résultats de l'audit interne, le traitement des incidents et non-conformités, et les changements apportés au SMSI. La recertification a lieu tous les 3 ans.

Oui, VerifyWise fournit des outils dédiés pour la mise en oeuvre d'ISO 27001. Notre plateforme vous aide à réaliser des évaluations des risques, suivre la mise en oeuvre des contrôles de l'Annexe A, gérer la documentation du SMSI, mener des audits internes et générer des preuves pour les audits de certification. Nous fournissons également des correspondances avec ISO 42001, NIST AI RMF et le règlement IA de l'UE pour les organisations mettant en oeuvre plusieurs cadres.

Prêt à obtenir la certification ISO 27001 ?

Commencez la mise en oeuvre de votre SMSI avec notre évaluation guidée et nos outils de préparation à la certification.

Commencer l'évaluation SMSI Planifier une consultation certification